S . G . D . S . N Agence nationale de la sécurité des systèmes d'information

Paris, le 31 juillet 2009 No CERTA-2009-AVI-305

Affaire suivie par :

CERTA

Objet : Vulnérabilité Shockwave Flash pour les produits Adobe

Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

1 Risque

• Exécution de code arbitraire à distance ;
• déni de service à distance.

2 Systèmes affectés

• Adobe Acrobat 9.x ;
• Adobe Reader 9.x ;
• Adobe Flash Player 10.x.

Cette vulnérabilité peut affecter les systèmes d'exploitation suivants :

• Microsoft Windows ;
• Apple Mac OS X ;
• Gnu/Linux.

3 Résumé

Une vulnérabilité présente dans certains produits Adobe permet à un utilisateur distant malintentionné de provoquer un déni de service ou d'exécuter du code arbitraire.

4 Description

Une vulnérabilité causée par une erreur dans le traitement des fichiers au format SWF (Shockwave Flash) permet à une personne malintentionnée de provoquer un déni de service ou d'exécuter du code arbitraire.

Cette vulnérabilité peut être exploitée à distance au moyen d'un fichier SWF ou PDF spécialement construit.

5 Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

6 Documentation

• Bulletin de sécurité Adobe APSA09-03 du 30 juillet 2009 :

  http://www.adobe.com/support/security/bulletins/apsb09-10.html
  

• Bulletin de sécurité Adobe APSA09-03 du 22 juillet 2009 :

  http://www.adobe.com/support/security/advisories/apsa09-03.html
  

• Bloc-notes d'Adobe du 21 juillet 2009 :

  http://blogs.adobe.com/psirt/2009/07/potential_adobe_reader_and_fla.html
  

• Note de vulnérabilité de l'US-CERT VU#259425 du 22 juillet 2009 :

  http://www.kb.cert.org/vuls/id/259425
  

• Référence CVE CVE-2009-1862 :

  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-1862
  

Gestion détaillée du document

31 juillet 2009

version initiale ;